Visión de los Consumidores Latinoamericanos frente a la Seguridad Electrónica Ricardo Villadiego rvilladiego@easysol.net Regional Director, Américas Easy Solutions, Inc.
Por qué Easy Solutions hace un estudio sobre seguridad? Sobre Easy Solutions Somos el único proveedor de seguridad enfocado en prevención de fraude. Ofrecemos servicios de anti-phishing, autenticación multi-factor y calificación de riesgo transaccional. Nuestras tecnologías y metodologías propietarias y la investigación constante nos permiten rápidamente reaccionar y adaptarnos a nuevas amenazas. Miembros del Antiphishing Working Group (APWG) Miembros de servicio de ABA (Américan Bankers Association) Nuestra innovación en productos y servicios se basa en las necesidades dinámicas del mercado en protección contra fraude electrónico.
La Estrategia de Easy Solutions
Sobre el Estudio Objetivos Determinar el conocimiento, las opiniones y actitudes de los consumidores (usuarios de transacciones online y otros medios electrónicos) latinoamericanos sobre las amenazas de fraude electrónico. Conocer sus opiniones sobre lo que hacen y deberían hacer los proveedores de servicios electrónicos para protegerlos. (Bancos, compañías de pagos en línea y/o ventas en línea) Ficha técnica Población Objetivo: Mayores de 18 años que hacen transacciones On-line por lo menos una vez al mes. Mayores de 18 años Regiones: Centroamérica y Caribe (Costa Rica, Rep. Dominicana y Panamá), Región Andina (Colombia), Cono Sur (Chile, Argentina), México, Brasil. Ponderación: No se ponderan los datos. Margen de error: 5% a nivel total, 11% por región. 95% de confianza. n= 375 Fechas de recolección: Encuestas telefónicas realizadas entre el 16 de Julio y el 6 de Agosto de Agosto de 2010. Proveedor: Market Team S.A. ISO 20252: 2006
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
Los dispositivos móviles un canal con alto potencial transaccional Conocimiento y Uso de medios ó canales de pago Frecuencia mensual de uso: 2.8 2.2 2.5 2.9 1.8 1.8 99 91 97 97 59 61 53 79 72 69 27 23 19 19 11 2 1 1 Internet desde un computador de escritorio o portátil Oficinas o sucursales bancarias Cajeros Automáticos Internet desde un celular ó dispositivo móvil con plan de datos Datafonos o Puntos de pago electrónico Sistemas de Audio respuesta a través de teléfono. CONOCE USA PREFIERE Qué canales ó medios de pago para realizar operaciones bancarias/ consulta de saldo/ pagos de servicios/ pago de impuestos u otros pagos ó compras en general/ conoce o ha oído mencionar aún cuando no los haya utilizado? qué medio o medios usa y prefiere para realizar sus transacciones bancarias ó pagos en general?
Centro América y México es donde más se prefieren los dispositivos móviles Conocimiento y Uso de medios ó canales de pago Internet desde un celular ó dispositivo móvil con plan de datos 79 76 75 84 81 79 23 16 29 AGK 23 32BK 13 Total (A) *[375][375] Colombia (B) Centro América (C) Cono Sur (G) México (J) Brasil (K) CONOCE USA PREFIERE Qué canales ó medios de pago para realizar operaciones bancarias/ consulta de saldo/ pagos de servicios/ pago de impuestos u otros pagos ó compras en general/ conoce o ha oído mencionar aún cuando no los haya utilizado? qué medio o medios usa y prefiere para realizar sus transacciones bancarias ó pagos en general?
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
Los usuarios no conocen el Phishing ni el Pharming por lo tanto no se protegen contra estas amenazas Gap entre conocimiento y protección : Conocimiento de Amenazas 95 8% 9% 13% 13% 28% 24% 29% 39% 27% 87 13% 67 61 63 55 55 48 Conoce Tiene protección en su computador 36 26 34 26 31 22 28 17 26 19 24 21 Virus Troyanos Gusanos Spyware Phishing vía Malware Phishing Phishing Pharming Keyloggers Informáticos correo vía por electrónico mensaje teléfono de texto Ahora/ le voy a leer algunas amenazas a las que se está expuesto en el momento de realizar una transacción bancaria/ pago ó compras por Internet. Por favor dígame si conoce y tiene protección contra Phishing vía correo electrónico: correo electrónico que engaña al usuario para llevarlo a un sitio Web falso Pharming: proceso que re direcciona al usuario a páginas Web falsas Virus: programa que daña archivos en una computadora. Troyanos: programa que da acceso no autorizado a una computadora
Por qué los usuarios siguen cayendo en ataques de Phishing / Pharming? Cedula/pasaporte Cedula/pasaporte Cedula/pasaporte
Una vez se explica qué es el Phishing, esta amenaza genera alta preocupación Preocupación frente al Phishing % 100 Le preocupa mucho 80 60 72 75 77 67 75 65 Le preocupa algo 40 No le preocupa 20 0 16 16 8 12 13 17 9 9 11 1 1 1 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] 16 Cono sur (G) *[75] [75] 16 México (J) 23 C Brasil (K) No sabe/ No aplica El Phishing consiste en correos electrónicos que parecen venir de una fuente confiable, como por ejemplo su banco, pero que en realidad son enviados por criminales que buscan engañarlo para robar su información confidencial, como datos de usuario, contraseñas, números de cuenta o de tarjetas de crédito. Que tanto le preocupa sufrir un ataque de Phishing en su computador?
El tener programas maliciosos de forma oculta también genera preocupación Preocupación frente a Programas Maliciosos % 100 Le preocupa mucho 80 60 40 71 80 84 88 85 GK GK 72 Le preocupa algo No le preocupa 20 0 15 J 20 11 9 4 ACJ 5 9 15 7 5 11 7 1 1 1 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] Cono sur (G) *[75] [75] México (J) Brasil (K) No sabe/ No aplica Que tanto le preocupa tener programas maliciosos instalados de forma oculta en su computador, los cuales puedan robar su información confidencial, como datos de usuario, contraseñas, números de cuenta o de tarjetas de crédito?
La mayoría de los entrevistados No cree que la seguridad en Internet ha mejorado Percepción de la evolución de la seguridad en Internet durante el ultimo año % 100 80 60 40 38 J 29 K 43 43 GJ GJ 29 31 K K 27 25 33 K 44 AK 51 AGJ 8 C Más seguro Igual Menos seguro 20 30 27 23 31 28 41 No Sabe 0 3 1 4 9ABK 3 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] Cono sur (G) *[75] [75] México (J) Brasil (K) Usted cree que realizar transacciones o compras por Internet es ahora más seguro, menos seguro o igual que hace un año?
La amenaza de fraude ha causado que usuarios dejen de hacer transacciones bancarias o cambien de banco Acciones personales de protección Colombia : 80% 63% 39% 29% 32% 16% 11% 11% 11% 61 42 27 23 22 13 13 11 10 Sólo visita sitios Web con los que está familiarizado Solo realiza compras en sitios Web de compañías reconocidas Antes de hacer alguna compra revisa si el sitio Web tiene Certificado de Seguridad Ha disminuido o detenido sus compras en Internet Ha dejado de hacer transacciones bancarias en Internet Usa Internet con menos frecuencia No ha tomado ninguna acción Usa PayPal como alternativa de pago en Internet Cambió de Banco Algunas personas han tomado ciertas acciones para protegerse contra el fraude o robo a través de Internet. Usted ha tomado alguna de las siguientes acciones? - Sí
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
En solo el ultimo año entre el 7 y 11% de usuarios de medios electrónicos declaran haber sufrido fraude. Muchas de las victimas no se dan cuenta Victimas de fraude electrónico en los últimos 12 meses % 100 8 8 7 7 8 11 80 Sí 60 40 92 92 93 93 92 89 20 No 0 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] Cono sur (G) *[75] [75] México (J) Brasil (K) Ha sido usted víctima de algún robo o fraude por vía de algún medio electrónico en los últimos 12 meses?
Después de la clonación de tarjetas, el fraude a través de Internet y el robo de información son los tipos de fraude electrónico más frecuentes Tipo de fraude sufrido Total (A)*[30][30] Clonación de tarjeta de crédito Clonación de tarjeta debito Compras no autorizadas hechas por Internet Robo de información (que no implicó pérdida de dinero) 23 20 20 13 Alguien tomo un crédito o préstamo a su nombre/ sin su autorización Compras no autorizadas hechas por Teléfono Fraude a través de tarjeta debito Mensaje de texto No le enviaron el articulo que compró Phishing: Robo de información ó dinero a través de sitios Web o correos electrónicos falsos Transacción en cajero automático 7 3 3 3 3 3 3 % Y de qué tipo de robo o fraude fue usted victima?
La mitad de las víctimas de fraude no lo denuncian Y Cuánto dinero le robaron? (En dólares) 1 y 500 Total (A) *[20] [20] 60 Cuál es la razón por la que no ha recuperado el dinero robado? % 100 Recuperó el dinero robado? NO: 40% 501 a 1000 5 80 50 No denunció el robo a la entidad financiera 60 La entidad no le creyó 1001 Ó más 35 40 38 % 20 Esta en proceso con la justicia Y Cuánto dinero le robaron?: Media Latam: USD$ 941 Media Colombia US$ 368 0 13 Total (A) *[8][8]
El 27% de las victimas de fraude han dejado de usar Internet para transacciones Cambio de comportamiento consecuencia del fraude Total (A)*[30][30] Solo realice compras en sitios Web de compañías reconocidas Sólo visite sitios Web con los que esta familiarizado Haya disminuido o detenido sus compras en Internet 40 37 37 Haya dejado de hacer transacciones bancarias en Internet Antes de hacer alguna compra revise si el sitio Web tiene Certificado de Seguridad No ha tomado ninguna acción Use PayPal como alternativa de pago en Internet 27 27 20 13 Cambie de Banco 7 Use Internet con menos frecuencia 7 Otro 7 % El ser víctima de fraude o robo financiero ha hecho que usted?
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
Los usuarios piensan que el mayor responsable de su seguridad son los bancos Responsabilidad frente al fraude % 100 El usuario 80 60 40 20 0 30 33 37 K 43 43 47% K 47 49 11ACGJ 49% K 48 K K 1 20 4 16B BJ 12 5 3 4 5 8BC 3 4 3 3 1 3 1 1 7 13 5 3 1 1 1 1 1 5 7BC 1 5ACGJ Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] 24 Cono sur (G) *[75] [75] 33 México (J) 20 31 Brasil (K) Los bancos o empresas dueñas de los portales Las empresas de tarjetas de Crédito Los proveedores del servicio de Internet El Gobierno Las entidades de vigilancia Los fabricantes de computadores o equipos Los fabricantes de programas o software Otro No Sabe Pensando en el fraude por medios electrónicos usted quién cree que tiene la mayor responsabilidad de que las transacciones electrónicas sean seguras?
Casi la totalidad de usuarios creen que los bancos deben implementar soluciones de autenticación robusta % 100 Usuarios que creen que los bancos deben reforzar la autenticación 80 Sí 60 95 92 97 92 97 93 99 No 40 20 0 4 8 K 4 1 3 4 5 3 1 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] Cono sur (G) *[75] [75] Chile (H) *[38][38] México (J) 1 Brasil (K) No sabe/ No tiene preferencia Usted cree que los bancos deben implementar medidas de seguridad más fuertes/ adicionales a un nombre de usuario y contraseña/ para identificar a los usuarios y permitirles el acceso a los servicios electrónicos?
La gran mayoría de usuarios espera monitoreo y detección de transacciones sospechosas Usuarios que esperan que su banco monitoree y detecte transacciones sospechosas % 100 80 Sí 60 40 89 K 96 99 K AGJK 88 91 K K 71 No 20 0 27 10 8 ABCGJ 2 8 C 4 1 4 1 3 Total (A) *[375][375] Colombia (B) Centro América (C) *[75] [75] Cono sur (G) *[75] [75] México (J) Brasil (K) No sabe/ No tiene preferencia Usted espera que su banco monitoree las transacciones que usted realiza y detecte acciones sospechosas/ como por ejemplo una transferencia de fondos inusual?
Estructura Conocimiento y Uso de medios o canales de pago Conocimiento de Amenazas Experiencia con fraude electrónico Responsabilidad frente al fraude Métodos de Seguridad
Métodos diferentes a la segunda clave, pregunta de reto e imagen de seguridad son poco conocidos. Más de la mitad de usuarios de contraseñas enviadas por SMS, imagen de seguridad y Tokens no confía en estos métodos Gap entre confianza y uso: 79 70 Conocimiento, uso y confianza de métodos de seguridad 9% 30% 53% 22% 32% 55% 78 64 60 31% 47 49 45 33 30 14 18 14 25 17 34 11 5 29 13 9 Segunda Clave ó contraseña Pregunta de reto Imagen de seguridad Lectura de huella digital Token de autenticación CONOCE USA CONFIA Contraseñas enviadas por mensaje de texto al celular Tarjetas de coordenadas Cuáles de los siguientes métodos de seguridad para acceder a transacciones electrónicas conoce, usa y confía?
Ataques de última generación: MITM OTP Killer? Second Factor for: 3000US Dollars To: Tommy Mule Online Banking? Second Factor for: 500 US Dollars To: Martin Flin diego.vela@tcs.ec Request Mule & Tx Info 2 nd F.A. Login TX: User: john 500 Pass: US 9138 Dollars To: Martin Flin TX: 3000US Dollars To: Tommy Mule Phisher Servers
Métodos adicionales de seguridad generan un alto incremento en la confianza, pero deben ir acompañados de educación Impacto en la confianza de métodos de seguridad más fuertes % 100 80 60 40 20 0 49 J 24 26 28 CK CK Total (A) *[375][375] 56 53 GJ J 16 Colombia (B) 32 B 15 Centro América (C) *[75] [75] 39 23 39 ACK Cono sur (G) *[75] [75] 32 24 44 ABCK México (J) 67 AGJ 27 7 Brasil (K) Tendría mucha más confianza para realizar compras o transacciones Tendría un poco más de confianza para realizar compras o transacciones Su nivel de confianza no cambiaria Piense en los diferentes sitios Web donde hace transacciones/compras. Si estos sitios comenzaran a ofrecer métodos de seguridad más fuertes cómo esto afectaría su confianza para realizar compras/transacciones en estos sitios Web?
Seguridad vs. Conveniencia Gana Seguridad Los usuarios están dispuestos a usar métodos adicionales de seguridad, pero no a pagar por ellos Disposición a usar y pagar por métodos adicionales de seguridad 77G 69 69 71 65 60 53C 55C 52C 49C 47C 24 Total (A) *[375][375] Colombia (B) Centro América (C) Cono Sur (G) México (J) Brasil (K) MUY DISPUESTO A USAR NADA DISPUESTO A PAGAR Si su banco decide implementar un método opcional de seguridad más fuerte (adicional a un nombre de usuario y contraseña) qué tan dispuesto estaría usted a usar ese nuevo método? Estaría usted dispuesto a pagar un cargo adicional por usar este nuevo método de seguridad más fuerte de su banco?
Conclusiones Los consumidores latinoamericanos ante el fraude electrónico: Les preocupa mucho el fraude y no creen que la seguridad en Internet este mejorando, pero no conocen los tipos de amenazas que los pueden afectar. Al no conocer las amenazas no se protegen contra estas Y al sufrir un fraude o como medida de prevención dejan de hacer transacciones bancarias por Internet o cambian de banco. Piensan que el mayor responsable de su protección es el banco, antes que los usuarios. Creen que los bancos deben implementar métodos adicionales de seguridad, lo que aumentaría en forma importante su percepción de seguridad y esperan que monitoreen sus transacciones para detectar acciones sospechosas. Están dispuestos a usar medidas adicionales de seguridad pero no a pagar por estas.
Recomendación para los bancos Entregar a los usuarios medidas adicionales de seguridad, acompañadas de educación, para: Aumentar la confianza Evitar pérdida de clientes Incrementar la base de usuarios y la frecuencia de uso de Internet y otros canales menos costosos que las oficinas Combatir el fraude - pérdidas económicas, de confianza de los clientes y de eficiencia.
Preguntas? rvillladiego@easysol.net "Easy Solutions is a security vendor focused on the problem of fraud which has differentiation strategies where the customer finds advantages.* *Source: White paper- Key Challenges in Fighting Phishing and Pharming, Dec 09